• Головна
• Суспільство

Фото: t.me/CenterCounteringDisinformation/17406

Російські хакери, пов'язані з Кремлем, розгорнули масштабну операцію, спрямовану на викрадення даних акаунтів у Signal і WhatsApp. Про це пише у Telegram Центр протидії дезінформації РНБО України із посиланням на звіт спецслужб Нідерландів (AIVD та MIVD).

- Російські хакери на державній службі намагаються отримати доступ до великої кількості акаунтів у Signal та WhatsApp високопосадовців, військових та державних службовців. Також нідерландські урядовці стали мішенню й жертвами цієї кампанії. У рамках цієї кампанії можуть постраждати й інші особи, які становлять інтерес для російської влади, наприклад журналісти, - зазначають нідерландські спецслужби MIVD та AIVD.

Характерною особливістю цієї російської кампанії є те, що хакери не використовують технічні вразливості самих додатків. Натомість вони експлуатують легітимні функції безпеки. Щоб отримати доступ до акаунтів у Signal та/або WhatsApp, росіяни намагаються витягнути у користувачів коди підтвердження та PIN-коди.

Найпоширеніший метод російських хакерів - видавати себе за чат-бот підтримки Signal. Таким чином вони намагаються заволодіти кодами жертв, що дозволяє повністю контролювати акаунт. Крім того, хакери використовують функцію linked devices у Signal та WhatsApp для підключення пристроїв, і користувачі часто не підозрюють, що їхній акаунт може бути зчитаний дистанційно. Якщо акаунт успішно зламано, хакери можуть читати всі повідомлення, які надходять на нього, а також мати доступ до чатів груп, в яких бере участь жертва.  

Розвідувальні служби вважають, що підвищена увага Росії до Signal пояснюється доброю репутацією додатку. Signal відомий як надійний та незалежний засіб комунікації з можливістю end-to-end шифрування повідомлень. Завдяки цьому його часто використовують урядові установи для захисту внутрішньої комунікації, і саме там потенційні зловмисники сподіваються отримати доступ до конфіденційної інформації.

Фахівці MIVD та AIVD надали інструкції для користувачів Signal, як перевірити, чи були їхні контакти скомпрометовані:

• Кожен користувач Signal може перевірити, чи є підозрілі акаунти у групових чатах. Якщо бачите одного користувача двічі у списку учасників або з трохи зміненим ім’ям, це може свідчити про злом старого акаунту та створення нового жертвою.
• У разі підозри слід повідомити відділ інформаційної безпеки вашої організації. Можна перевірити у власника акаунту (краще через інший канал – електронну пошту або телефон), чи дійсно акаунт дублюється, і при необхідності видалити підозрілі акаунти з групи.
• Звертайте увагу на учасників, яких інші члени групи не впізнають. Зловмисник може змінювати ім’я акаунту, наприклад, на Deleted account, щоб залишатися непоміченим.

У Signal офіційно підтвердили факти атак, наголосивши, що їхня система безпечна, а злом акаунтів відбувається здебільшого через помилки користувачів.

- Центр закликає бути пильними: служба підтримки жодного месенджера не запитуватиме ваш код верифікації чи PIN-код через чат. Регулярно перевіряйте список підключених пристроїв у налаштуваннях додатка. Якщо ви помітили у групах «двійників» контактів або невідомих учасників, негайно повідомте про це адміністратора та змініть налаштування безпеки, - заявили у ЦПД.

• 19 лютого у НБУ повідомили, що російські хакери отримали доступ до бази з 266 999 записами - електронними адресами, телефонами та хешованими паролями користувачів інтернет-магазину нумізматики НБУ. У Нацбанку попереджають, що ці дані можуть використати для фішингових атак. Причиною витоку став злам облікових даних підрядної компанії.
• У червні 2025 року Державна служба спеціального зв’язку та захисту інформації України повідомила, що Росія почала використовувати для кібератак Signal - його вважають найзахищенішим месенджером.